Para instalações do vRealize Automation em redes isoladas sem acesso direto à Internet, você pode usar um servidor proxy de Internet para permitir a funcionalidade Internet por proxy. O servidor proxy de Internet é compatível com HTTP e HTTPS.

Para configurar e usar provedores de nuvem pública, como a Amazon Web Services (AWS), o Microsoft Azure e a Google Cloud Platform (GCP), bem como os pontos de integração externos, como IPAM, Ansible e Puppet, com o vRealize Automation, você deve configurar um servidor proxy de Internet para acessar o servidor proxy de Internet interno do vRealize Automation.

O vRealize Automation contém um servidor proxy interno que se comunica com o seu servidor proxy de Internet. Esse servidor se comunicará com o servidor proxy se tiver sido configurado com o comando vracli proxy set .... Se você não tiver configurado um servidor proxy de Internet para a sua organização, o servidor proxy interno do vRealize Automation tentará se conectar diretamente à Internet.

É possível configurar o vRealize Automation para usar um servidor proxy de Internet usando o utilitário de linha de comando vracli fornecido. Informações sobre como usar a API do vracli estão disponíveis usando o argumento --help na linha de comando vracli , por exemplovracli proxy –-help.

O acesso ao servidor proxy de Internet requer o uso de controles incorporados no local de extensibilidade com base em ações (ABX) que estão integrados ao vRealize Automation.

Observação:

O acesso ao Workspace ONE Access não é compatível com o proxy de Internet. Não é possível usar o comando vracli set vidm para acessar o Workspace ONE Access por meio do servidor proxy de Internet.

O servidor proxy interno requer IPv4 como formato de IP padrão. Ele não exige restrições de protocolo de Internet, autenticação ou ações de "Man-in-the-middle" no tráfego de certificado TLS (HTTPS).

Todo o tráfego de rede externa atravessa o servidor proxy de Internet. O tráfego de rede interna ignora o proxy.

Pré-requisitos

  • Verifique se você tem um servidor HTTP ou HTTPS, que possa ser usado como o servidor proxy de Internet, na rede do vRealize Automation e que seja capaz de transmitir o tráfego de saída para sites externos. A conexão deve ser configurada para IPv4.
  • Certifique-se de que o servidor proxy de Internet de destino esteja configurado para oferecer suporte ao IPv4 como seu formato IP padrão.
  • Se o servidor proxy de Internet usar TLS e exigir uma conexão HTTPS com seus clientes, você deverá importar o certificado de servidor usando um dos seguintes comandos antes de definir a configuração de proxy.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Use o parâmetro stdin para entrada interativa.

Procedimento

  1. Crie uma configuração de proxy para os pods ou contêineres que são usados pelo Kubernetes. Neste exemplo, o servidor proxy é acessado usando o esquema HTTP.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Mostre a configuração de proxy.

    vracli proxy show

    O resultado será semelhante a:
    {
        "enabled": true,
        "host": "10.244.4.51",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "scheme": "http",
        "upstream_proxy_host": null,
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": null,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
        "internal.proxy.config.type": "default"
    }
    
    Observação: Se você tiver configurado um servidor proxy de Internet para a sua organização, "internal.proxy.config.type": "non-default" aparecerá no exemplo acima em vez de 'default'. Por segurança, a senha não é exibida.
    Observação: Se você usar o parâmetro -proxy-exclude, deverá editar os valores padrão. Por exemplo, se quiser adicionar acme.com como um domínio que não pode ser acessado usando o servidor proxy de Internet, use as seguintes etapas:
    1. Insira vracli proxy default-no-proxy para obter as configurações padrão de exclusão de proxy. Esta é uma lista de domínios e redes gerados automaticamente.
    2. Edite o valor para adicionar .acme.com.
    3. Insira vracli proxy set .... --proxy-exclude ... para atualizar as definições de configuração.
    4. Execute o comando /opt/scripts/deploy.sh para reimplantar o ambiente.
  3. (Opcional) Exclua domínios DNS, FQDNs e endereços IP para impedir que eles sejam acessados pelo servidor proxy de Internet.

    Sempre modifique os valores padrão da variável proxy-exclude usando parameter --proxy-exclude. Para adicionar o domínio exclude.vmware.com, primeiro use o comando vrali proxy show e depois copie a variável proxy-exclude e adicione o valor de domínio usando o comando vracli proxy set ..., conforme abaixo:

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Observação: Adicione elementos a proxy-exclude em vez de substituir os valores. Se você excluir os valores padrão do proxy-exclude, o vRealize Automation não funcionará corretamente. Se isso acontecer, exclua a configuração de proxy e comece novamente.
  4. Depois de definir o servidor proxy de Internet com o comando vracli proxy set ..., você poderá usar o comando vracli proxy apply para atualizar a configuração do servidor proxy de Internet e tornar as configurações de proxy mais recentes ativas.
  5. Se ainda não tiver feito isso, ative as alterações de script executando o seguinte comando:

    /opt/scripts/deploy.sh

  6. (Opcional) Se necessário, configure o servidor proxy para oferecer suporte ao acesso externo na porta 22.

    Para oferecer suporte a integrações como o Puppet e o Ansible, o servidor proxy deve permitir que a porta 22 acesse os hosts relevantes.

Exemplo: Amostra de configuração do Squid

Em relação à etapa 1, se você estiver configurando um proxy Squid, poderá ajustar sua configuração em /etc/squid/squid.conf adaptando-a à seguinte amostra:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on